Unit 42 Global Incident Response Report 2026: Saldırganlar Nerede Kazanıyor?
Quasys olarak iş ortağımız Palo Alto Networks’ün tehdit istihbaratı ve olay müdahale ekibi Unit 42 tarafından yayınlanan Global Incident Response Report 2026 raporunu inceledik. Sahadan gelen gerçek vakalara dayanan bu çalışma, bugün saldırıların nasıl gerçekleştiğini anlamak açısından oldukça kıymetli.
Biz de raporun tamamını özetlemek yerine, özellikle altını çizmekte fayda gördüğümüz başlıkları bu yazıda bir araya getirdik. Raporun en dikkat çekici tarafı şu:
Bugün saldırılar çoğu zaman hâlâ kapatılamayan temel boşluklar nedeniyle başarılı oluyor.
Saldırılar artık tek bir noktadan ilerlemiyor
Bugün bir siber saldırıyı tek bir katmanda düşünmek mümkün değil. Endpoint, network, cloud, SaaS ve kimlik katmanları artık iç içe geçmiş durumda.
Unit 42 verilerine göre incelenen olayların %87’sinde saldırganlar birden fazla yüzeyi aynı anda kullanıyor.
Bu şu anlama geliyor:
Bir noktada alınan önlem, diğer katmanlarda karşılığı yoksa saldırıyı durdurmaya yetmiyor.
Bir diğer kritik detay ise saldırıların neredeyse yarısında browser tabanlı aktivitelerin yer alması.
Yani çalışanların günlük iş akışı – mail, web, SaaS kullanımı – doğrudan saldırı yüzeyi haline gelmiş durumda.
Yapay zekâ saldırganların hızını ciddi şekilde artırıyor
Yapay zekâ, saldırganlar için bir hızlandırıcı gibi çalışıyor.
Raporun bu bölümünde öne çıkan birkaç veri:
- En hızlı saldırılarda veri sızdırma süresi 72 dakikaya kadar düşmüş durumda
- Açıklar yayınlandıktan çok kısa süre sonra taranıp istismar edilebiliyor
- Aynı anda çok sayıda hedefe paralel saldırı mümkün hale geliyor
Bu değişim, savunma tarafı için önemli bir gerçekliği beraberinde getiriyor:
Artık “gecikmeli reaksiyon” çoğu senaryoda yeterli değil.
Ayrıca AI sadece hız kazandırmıyor, yeni bir saldırı yüzeyi de yaratıyor.
Kurumsal AI araçları, doğru kontrol edilmediğinde saldırganların içeride daha hızlı hareket etmesini sağlayan bir “yardımcı”ya dönüşebiliyor.
Kimlik artık en kritik kırılma noktası
Çoğu yerde Quasys olarak da vurguladığımız gibi raporun da belki en net mesajı burada:
Saldırganlar içeri girmek için sistemleri hacklemek zorunda değil. Çoğu zaman sadece login oluyorlar.
Unit 42 bulgularına göre:
- Vakaların yaklaşık %90’ında kimlik zafiyetleri rol oynuyor
- İlk erişimlerin %65’i doğrudan kimlik tabanlı yöntemlerle gerçekleşiyor
Phishing, çalınmış credential’lar, MFA bypass ve yanlış IAM konfigürasyonları hâlâ en yaygın giriş noktaları.
Daha çarpıcı olan ise içerideki durum:
Cloud ortamlarında incelenen kimliklerin %99’unda gereğinden fazla yetki bulunuyor.
Bu da saldırganların bir kez içeri girdikten sonra çok hızlı yayılabilmesini sağlıyor.
Tedarik zinciri artık görünenden daha geniş
Yazılım tedarik zinciri riski denince akla hâlâ çoğunlukla açık kaynak kod geliyor.
Ama sahadaki tablo daha geniş.
Bugün risk:
- SaaS entegrasyonları
- API bağlantıları
- üçüncü parti uygulamalar
- otomasyon araçları
üzerinden büyüyor.
Rapor, SaaS uygulamalarının dahil olduğu olayların yıllar içinde istikrarlı şekilde arttığını gösteriyor ve bu oran 2025 itibarıyla %23’e ulaşmış durumda.
Buradaki temel problem, entegrasyonlara verilen geniş yetkiler.
Bir entegrasyon ele geçirildiğinde, o erişim aslında doğrudan kurumun içine açılan bir kapıya dönüşüyor.
Saldırının hedefi değişiyor: Şifrelemek yerine baskı kurmak
Son yıllarda ransomware denince akla gelen ilk şey sistemlerin şifrelenmesiydi.
Bu tablo değişmeye başlıyor.
2025 verilerine göre saldırganlar artık:
- veriyi çalıyor
- sızdırma tehdidi oluşturuyor
- doğrudan baskı kuruyor
Şifreleme hâlâ var, ama artık tek yöntem değil.
Bu da şu anlama geliyor: “backup almak” savunma açısından çok kısa kalıyor.
Problem teknoloji değil, boşluklar
Raporun en net mesajı saldırganlar çoğu zaman yeni teknikler geliştirmeyişi. Mevcut sistemlerdeki boşluklar kullanılıyor.
Bu boşluklar genellikle eksik görünürlük, tutarsız güvenlik kontrolleri, aşırı yetkilendirilmiş kimlikler olarak karşımıza çıkıyor.
Dolayısıyla odak noktası da buraya kayıyor:
- Kimlik yönetimini sıkılaştırmak
- Farklı katmanlar arasında görünürlüğü birleştirmek
- Otomasyon ve AI ile müdahale süresini kısaltmak
- Entegrasyon ve tedarik zinciri risklerini aktif yönetmek
Bu rapor bize bir şeyi tekrar hatırlatıyor. Bugün güvenlikte fark yaratan şey mevcut yapının gerçekten çalıştığından emin olmak. Bundan emin olmanın en güncel yolları için deneyimli uzmanlarımıza her zaman info@quasys.com.tr üzerinden ulaşabilirsiniz.
